来源:数据观 时间:2019-11-20 17:20:09 作者:综合报道
电子政务云平台在我国关键信息基础设施领域中扮演着重要角色,对于包含大量敏感信息和公民隐私信息、直接影响党政机关运转和公众生活工作的关键业务,迁移至云计算平台势必会带来新的安全风险。
通过党政云审查,站在监管者的角度,可综合收集党政部门云计算服务安全状态信息,深度挖掘其所面临的威胁,形成整体态势感知,必要时发布威胁预警,可以有效降低国外敌对势力对我国关键信息基础设施进行渗透的风险,维护我国网络空间安全。
11月19日,中央网信办官网发布通过安全评估的云平台共 28个、涉及20家企业。其中包括:
曙光云:成都电子政务云平台(二期)
阿里云:阿里云电子政务云平台
华为云:华为云服务襄阳政务云平台、华为云政务平台
腾讯云:腾讯云广州政务云平台
金山云:金山云电子政务云平台
京东云:京东云电子政务云平台
新华三:四川省级政务云(H3C云)
联通云:联通沃云西咸基地政务云平台、河北省政务云平台
无锡城市云计算中心有限公司:无锡城市云计算中心电子政务云平台
首都信息发展股份有限公司:首信政务云平台
政采云有限公司:政府采购云平台
数字广东:广东“数字政府”政务云平台
西安未来国际信息股份有限公司:陕西省政务云平台
国信新网:国信政务云
中电万维:甘肃省电子政务云公共平台
浪潮软件:济南政务云平台、重庆政务云平台、山东省政务云平台
浪潮云:浪潮行业云平台
众云数据、深信服:众云数据-深信服电子政务云服务平台
中国电信集团公司:行业云资源池
中国电信股份有限公司:上海市电子政务云平台(中国电信)
中国移动:移动政务云平台、“国家政务服务平台”云平台
广东移动:广东省电子政务云
上海移动、云赛智联:上海市电子政务云平台(上海移动+云赛智联)
其中,华为2个云平台通过审查、联通云数据2个、浪潮软件3个、浪潮云1个,中国电信2个(中国电信集团和中国电信股份有限公司)、中国移动4个(中国移动通信、广东移动、上海移动和云赛智联);2个云平台由两家企业合作:众云数据和深信服、上海移动和云赛智联;其他厂商均1个云平台通过审查。
云计算安全面临挑战
云计算因其技术特点和应用模式,在传统安全风险之外,引入了新的风险。首先,云计算服务客户对自身的数据和业务控制能力减弱,云服务存在被非法或违规控制、干扰、中断的风险;其次,如果云服务商技术成熟度不足,服务不规范,那么就存在开发、建设、服务过程中的安全风险;再次,客户在云平台上的数据保护更加困难,存在被非法或违规收集、存储、处理、利用的风险;另外,客户与云服务商之间的责任难以界定,客户对云服务的过度依赖等问题均会影响客户利益。
以上除了安全性问题带来的风险外,更多是因为可控性不足而造成。比如,云服务商及其供应商的各类有意或无意的非法和违规行为,与服务是否通过安全测评关系不大,还需通过安全审查对可控性风险进行综合分析,守好安全底线。
评估+监督,确保云计算安全
云计算环境下的网络安全管理一直是一项全球性的难题,云计算服务虽然带来了高效、节能和便捷,但面临的安全威胁却更加复杂多变。
2011年,美国已经意识到云计算服务带来的安全风险,并联合多个政府机构推出了FedRAMP制度(联邦风险和授权管理项目),对服务于美国联邦政府机构的云计算服务,进行风险评估、授权管理与持续监测。
2015年,中央网信办出台了《关于加强党政部门云计算服务网络安全管理的意见》(中网办发文〔2015〕14号)。意见明确了党政部门使用社会化云计算服务的安全要求为“安全管理责任不变、数据归属关系不变、安全管理标准不变、敏感信息不出境”,并基于此启动了面向党政部门提供云服务的网络安全审查工作。
《意见》的发布,正是我国对党政部门云计算服务网络安全管理的重要举措,同时也为重点行业安全使用云计算服务提供了重要指导建议。
今年7月,为提高党政机关、关键信息基础设施运营者采购使用云计算服务的安全可控水平,国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、财政部制定了《云计算服务安全评估办法》。
据悉,开展云计算服务安全评估,是为了提高党政机关、关键信息基础设施运营者采购使用云计算服务的安全可控水平,降低采购使用云计算服务带来的网络安全风险,增强党政机关、关键信息基础设施运营者将业务及数据向云服务平台迁移的信心。
通过云计算服务安全评估的云平台
责任编辑:张薇
